ISPIN Security Radar #30/19

/Security Radar

Cyberangriffe machen auch vor der «Insel» Schweiz nicht Halt. In den vergangenen Wochen waren namhafte Schweizer Firmen von Angriffen betroffen. Phishing spielte einmal mehr eine zentrale Rolle.

Cyberangriffe machen auch vor der «Insel» Schweiz nicht Halt. Wie die Melde- und Analysestelle Informationssicherung des Bundes (Melani) am Dienstag mitteilte, waren in den vergangenen Wochen namhafte Firmen von Angriffen betroffen. Namen wurden keine genannt, aber einige Firmen haben die Vorfälle offen kommuniziert. So wurden im Juli Angriffe auf den Bürobedarf-Grossisten Offix, das Schweizer Gebäudetechnik-Unternehmen Meier Tobler, auf das Zürcher Software-Unternehmen Crealogix Opfer bekannt. Dabei haben die noch unbekannten Cyberkriminellen die Firmennetzwerke infiltriert und deren Daten mittels Verschlüsselungstrojanern grossflächig unkenntlich und für die Firmen unbrauchbar gemacht. Umberto Annino, Präsident der Information Security Society Switzerland, begrüsst diese Transparenz: «Ich respektiere sehr stark Unternehmen, die es wagen, öffentlich zu informieren.» Dies zeige, dass solche Cyberangriffe vorkommen und «dass man Hilfe bekommt – auch wenn man informiert und den Vorfall nicht für sich behält.». Gemäss Warnung der Melde- und Analysestelle Informationssicherung des Bundes MELANI wurden die Unternehmen gezielt mittels schädlichen E-Mails, sogenanntes «Spear-Phishing», angegriffen. Zudem wurde der Email Provider Protonmail für eine Phishing-Attacke auf Journalisten missbraucht.

Transparent hilft allen um auf ein höheres Sicherheits-Level zu kommen. Umso wichtiger ist es über aktuelle Cyberbedrohungen auf dem Laufenden zu bleiben. Und es hat sich wieder einiges getan wie der folgende kurze Auszug zeigt.

Industriespionage durch Winnti

Wie Recherchen des Bayrischen und Norddeutschen Rundfunks (BR/NDR)  ergeben haben, wurden zahlreiche internationale Konzerne wie Roche, Bayer, Siemens etc. das Ziel von Industriespionage. Verantwortlich für die Angriffe ist Winnti, auch bekannt als APT10, eine vermutlich chinesische Hackergruppe die seit mindestens zehn Jahren gezielt Hackerangriffe auf Unternehmensnetzwerke ausführt. Wie die Schadsoftware genau auf die Server gekommen ist, ist nicht bekannt. Es ist aber anzunehmen, dass Winnti dies durch bösartige Attachments oder Links in Phishing-Emails gelungen ist, dies ist zumindest das typische Vorgehen der Gruppe. Die Schadsoftware ist modular wie ein Baukasten aufgebaut und existiert in über 250 Varianten, wie Moritz Contag, IT-Sicherheitsexperten der Ruhr-Universität Bochum (RUB) herausgefunden hat. Die Gruppe setzt für den jeweiligen Zweck und der anvisierten Opferfirma die passende Schadsoftware zusammen und integriert im Binärcode der Software eine Konfigurationsdatei. Dieser enthält beispielsweise Informationen vom Server über den die Schadsoftware gesteuert wurde, über den Speicherort im Opfersystem und interessanterweise jeweils auch einem Code, wie «daa0 c7cb f4f0 fbcf d6d1», für das anvisierte Unternehmen. Dies vermutlich um die verschiedenen Versionen und Angriffe managen zu können.
Mehr dazu in der lesenswerten Recherche vom BR/NDR. 
Auch auf tagesschau.de gibt es einen Artikel und Videobericht

Erpressungstrojaner im Namens des BSI

Vor kurzem wurde berichtet, dass die Personalabteilungen mit einer Variante der Sodinokibi-Ransomware angegriffen werden. Dabei enthalten die Mails Bewerbungen von den vermeintlichen Bewerberinnen Sandra Schneider, Sabine Lerche und Martina Peters, wobei davon auszugehen ist, dass sich die verwendeten Namen schnell ändern werden. Neu tarnt sich die Ransomware als Email vom BSI mit dem Betreff "Warnmeldung kompromittierter Benutzerdaten - Bundesamt für Sicherheit in der Informationstechnik". Das Mail beinhaltet ein ZIP-Archiv, in dem sich ein Downloader für eine Variante von Sodinokibi – auch bekannt als REvil und Sodin – versteckt. Gelangt die Ransomware auf das System, verschlüsselt es alle erreichbaren Dateien und fordert vom Opfer Lösegeld zur Entschlüsselung. Einmal mehr gilt – vorsichtig sein und in diesem Fall Mails, Links und Anhänge vom Absender «meldung@bsi-bund.org» nicht öffnen!

Der 3-Sekunden Sicherheitscheck vom BSI liefert erste Anhaltspunkte um Spam- oder Phishing-Mails zu erkennen und das Risiko zu senken. Dazu 3 Checkpunkte:

  1. E-Mail-Inhalt auf Sinnhaftigkeit hinterfragen
  2. E-Mail-Absender auf Richtigkeit prüfen
  3. Erwarte ich einen Anhang und ist die URL korrekt

Wenn Sie sich trotzdem nicht sicher sind, können Sie auch unseren "Cyber Defense Malware Analytics Service" nutzen.

Letztes Update von LibreOffice hilft nicht

Mit der letzten Version 6.2.5 des inoffiziellen OpenOffice-Nachfolger LibreOffice sollten die beiden  Schwachstellen CVE-2019-9848 und CVE-2019-9849 behoben werden. Die Aktualisierung sollte die Schwachstellen, die das Ausführen von Schadcode mit Benutzerrechten oder das Umgehen von Sicherheitsmechanismen ermöglicht, beheben. Der Sicherheitsforscher Alex Inführ kommunizierte auf Twitter jedoch, dass er den Patch von CVE-2019-9848 erfolgreich umgehen konnte. Benutzer sollten daher weiterhin Dokumente aus unbekannten Quellen am besten gar nicht erst öffnen. Ausserdem sollte die Software neu installiert und dabei im Setup bei der benutzerdefinierten Installation die Komponente "LibreLogo" entfernt werden.

Citrix – was seither geschah

Im März wurde Citrix Ziel eines Angriff bei dem 6 TB Daten gestohlen wurden. Nun hat Citrix die Untersuchungen abgeschlossen. Ursache: schwache Passwörter. Die Angreifer drangen mittels «Password Spraying» in die Systeme ein und stahlen zwischen dem 13. Oktober 2018 und dem 8. März 2019 vor allem geschäftliche Dokumente. Beim «Password Spraying» werden einige gebräuchliche Passwörter bei einer grossen Zahl von Accounts ausprobiert. Dies ist unauffälliger als riesige Passwortlisten an einzelnen Accounts auszuprobieren und verhindert, dass nach mehreren fehlgeschlagenen Logins Sperrmechanismen ausgelöst werden. Citrix hat mittlerweile das aus acht Lücken bestehende Sicherheitsloch geschlossen und rät den Anwendern dringend zum umgehenden Update.

Verwirrung um VLC-Lücke

Das BSI und das Computer Emergency Response Team des Bundes (CERT) haben vor einer Schwachstelle im weit verbreiteten VLC Media Player, Version 3.0.7.1, gewarnt. Mittlerweile haben sich die Entwickler des Media Players auf Twitter zu Wort gemeldet. Sie schreiben, dass keine explizite VLC-Schwachstelle sei, sondern dass es sich um einen Fehler in der Bibliothek eines Drittanbieters handelt, welcher jedoch schon vor 16 Monaten behoben wurde. Seit der Version 3.0.3 ist der VLC Media Player nicht mehr von der Schwachstelle betroffen. Die Entwickler haben mit der bereitgestellten Datei jedoch ein Speicherleck ausfindig machen können, dass als Denial-of-Service-Angriff auf den VLC-Player ausgenutzt hätte werden können. Der Nutzer müsst dazu aber, die speziell manipulierte Datei in einer Schleife ausführen. Der Fehler wäre aber nicht weiter schlimm, da der VLC-Player einfach über den Taskmanager beendet werden und danach wie gewohnt weiter verwendet werden kann.

Sie möchten noch umfangreicher informiert werden? Der wöchentliche Threat Report von ISPIN liefert Ihnen kontinuierlich Bedrohungsinformationen und verschafft Ihnen damit Transparenz über Ihre aktuelle Sicherheitslage. Nehmen Sie mit uns Kontakt auf.

Die drei nachfolgenden Grafiken geben Ihnen einen Überblick über die aktivsten Bedrohungsgruppen und die am meisten diskutierten Sicherheitsthemen.

Aktivste Bedrohungsgruppen der letzten 7 Tage

Erklärung: Die Auswertung zeigt eine Übersicht auf die Threat Actors, welche in den letzten 7 Tagen Aktivitäten aufzeigten. Die Aktivität wird anhand von gefundenen IOC’s oder Publikationen gemessen. Die gefundenen Indikatoren können aber auch das Resultat eines Entwicklungsschritts von Technologien sein und es werden Threats erkannt oder erklärt, welche schon länger im Umlauf sind. Die Daten basieren auf Malpedia – Fraunhofer FKIE und werden weiter über OSINT Sourcen angereichert.
Source: Malpedia – Fraunhofer FKIE, ISPIN Threat Database
 

Die am häufigsten diskutierten Themen der letzten 7 Tage (ungefiltert)

Erklärung: Für diese Auswertung werden 250 Twitter Accounts von Firmen und Individuen aus dem ICT Sicherheitsumfeld verwendet. Es werden zwischen 1000 und 2000 Tweets am Tag ausgewertet. Alle Hashtags fliessen in diese erste Übersicht ein und diese werden ungefiltert verwendet. Wir erhalten dadurch eine Sicht aus erster Hand, welche Sicherheitsthemen die Experten und Firmen in der letzten Woche beschäftigt haben.
Source: Twitter

Die am häufigsten diskutierten Themen der letzten 7 Tage (gefiltert)

Erklärung: Diese Auswertung basiert auf den vorhergehenden, ungefilterten Daten. Aus diesen Daten wurden allgemeine Begriffe, Firmennamen, Events und Produkte rausgefiltert, um eine genauere Sicht auf die diskutierten Sicherheitsthemen zu erhalten. Hiermit soll aufgezeigt werden können, dass eine spezifische Malware oder eine spezifische Angriffstechnik sich herauskristallisiert. Ein einzelner Kommentar kann hier interessant sein und mit Hilfe von «Crowd Amplification» werden diese einzelnen Findings verstärkt und gelangen so auf unseren Radar.
Source: Twitter